Análisis ROI y TCO de un SSO basado en adas

Transcripción

1 Análisis ROI y TCO de un SSO basado en

2 AUDITORIA Y CONSULTORIA DE PRIVACIDAD Y SEGURIDAD, SL presenta el documento: Análisis del ROI y TCO de un SSO basado en El objetivo de este documento es presentar el estudio realizado sobre el retorno de la inversión (ROI) y el coste total de propiedad (TCO) sobre el producto. Para cualquier consulta sobre el dossier informativo puede contactar con: Dirección Tecnológica prise.es C/García de Vinuesa 22, 1B Sevilla

3 Control documental Dossier Título Código de Referencia Versión Fecha Fichero Herramienta de edición Autor/es Resumen D Análisis del ROI y TCO de un SSO basado en urn:com:prise:doc:3:1:1.0: :d analisis_roi_tco_ de Agosto de 2012 Analisis_ROI_TCO_ Pages Cándido Rodriguez Análisis del ROI y TCO de un SSO basado en Derechos de uso El presente documento es propiedad de Auditoría y Consultoría de Privacidad y Seguridad, SL, en adelante PRiSE. El documento es privado y no podrá ser objeto de reproducción total o parcial, electrónico, mecánico, por fotocopia, registro o cualquier otro, salvo en los casos expuestos en el presente documento. Así mismo, tampoco podrá ser objeto de préstamo, alquiler o cualquier otra forma de cesión de uso sin el consentimiento previo y por escrito de PRiSE, titular del derecho de autor (copyright). El incumplimiento de las limitaciones señaladas por cualquier persona que tenga acceso a la documentación será perseguida de acuerdo con la ley. 3

4 Hoja de estado del documento Estado formal Preparado por Revisado por Aprobado por Cándido Rodríguez Daniel García Dirección PRiSE 01/08/ /08/2012 Control de versiones Versión partes modificadas descripción del cambio fecha 1 Primera versión creada 01/08/

5 Índice Resumen Ejecutivo 6 Análisis del ROI y TCO de como base de un SSO 7 1. Definiciones y acrónimos Acrónimos Definiciones 7 2. Consideraciones iniciales 8 3. Claves del análisis 9 4. Coste total de propiedad (TCO) de Retorno de la inversión (ROI) de 11 Conclusiones

6 Resumen Ejecutivo El incremento de la complejidad de los escenarios tecnológicos, desde el punto de vista de la identidad digital, es una realidad a la cual las organizaciones se tienen que enfrentando hoy en día. El despliegue de un Single Sign-On (SSO) permite reducir esta complejidad así como los costes de explotación asociados gracias a un punto central de autenticación, una gestión centralizada de la emisión de información de identidad de los usuarios para las aplicaciones, una definición de políticas de control de acceso etc. El hecho de conocer las ventajas de gestión que ofrece un SSO, no es óbice para no prestar atención a otros factores asociados al despliegue de un SSO. Este dossier pretende responder preguntar como realmente es una solución a ser considerada? ó debe invertir la organización tiempo y dinero en afrontar un despliegue de este tipo de tecnología? Para dar respuesta a estas preguntas se ha realizado un análisis del retorno de la inversión (ROI) y el coste total de propiedad (TCO) de un despliegue de SSO basado en como proveedor de identidad. Como avance del resultado final del análisis podemos mostrar el resultado final del ROI que presenta como proveedor de identidad para un SSO es del 254%. Respecto al resultado final del TCO que ofrece como punto central en el cual basar el despliegue de un SSO no supera los /año para el fin de un periodo de cinco años. 6

7 Análisis del ROI y TCO de como base de un SSO 1. Definiciones y acrónimos 1.1. Acrónimos Acrónimo ANS, SLA ROI TCO SSO IdP SP Concepto Acuerdo de Nivel de Servicio, del inglés Service Level Agreement Retorno de la Inversión, del inglés Return of Investment Coste Total de Adquisición, del inglés Total Cost Ownership Single Sign-On Proveedor de Identidad, del inglés Identity Provider Proveedor de Servicio, del inglés Service Provider 1.2. Definiciones Single Sign-On Procedimiento de autenticación que habilita al usuario para acceder a varios sistemas con una sola instancia de identificación Proveedor de Identidad Componente de un entorno SSO que se encarga de la identificación de los usuarios, verificación de los tokens de seguridad y posterior emisión de las aserciones de identidad de los usuarios que son remitidas a los proveedores de servicios Proveedor de Servicio Aplicación que forma parta de un entorno SSP y que confía en las aserciones de identidad de los usuarios recibidas desde el IdP. En último termino son las aplicaciones o servicios a los que los usuarios desean acceder. Credenciales (sistemas de información) Orden o un documento que atestigua o autoriza la cualificación, competencia o autoridad otorgada a un individuo por un tercero con autoridad. En los sistemas de información las credenciales son ampliamente utilizadas para controlar el acceso a la información o algún tipo de recurso. Para el ámbito del presente documento las credenciales consistirán en un identificador de la cuenta de un usuario username y en una contraseña o palabra secreta password. 7

8 2. Consideraciones iniciales Para proporcionar unas cantidades numéricas concretas se ha considerado una organización de empleado, que a modo de ejemplo dispone de un conjunto de aplicaciones, donde cada una de ellas realiza la autenticación de sus usuarios a través de un formulario web que solicita nombre de usuario y contraseña, para identificarlos y concederles acceso. Siendo estas credenciales diferentes para muchas de las aplicaciones. El coste anual medio por empleado se ha calculado utilizado los datos proporcionados por el Instituto Nacional de Estadísticas sobre el sueldo medio en España para el año 2010, incluyendo los costes totales que resultan para la organización. Número de empleados Coste anual medio por empleado Horas de trabajo en un año Coste hora medio por empleado , Se ha considerado que la organización cuenta con un Help-Desk (o Centro de Atención al Usuario) el cual atiende entre otras las incidencias relativas a la gestión de la identidad de los usuarios, los que comúnmente son problemas con la gestión de las credenciales de acceso a las diferentes aplicaciones. Según los análisis realizados por la firma Forrester, cada usuario realiza unas 10 llamadas al Help- Desk de media, siendo el 30% de estas llamadas incidencias de gestión de contraseñas, como por ejemplo el olvido para una aplicación determinada o la caducidad de las mismas. Así mismo, cada llamada atendida por el Help-Desk tiene una duración media de 15 minutos mientras que en el otro extremo, el usuario que ha tenido el problema con sus credenciales llega a estar de media hasta 20 minutos sin poder realizar su trabajo. Coste anual medio por empleado en Help-Desk Coste medio por hora de una llamada Tiempo medio en minutos atención llamada Media de número de llamadas por usuario al año Minutos perdidos por olvido de contraseña % de llamadas relacionadas con contraseña 25, % A través de la definición del equipo humano de la organización y de su Help-Desk, se puede obtener el coste total de la asistencia de incidencias relativas a la contraseña al que tiene que hacer frente la organización. Número de llamadas al año en Help-Desk Número de llamadas relativas a contraseñas Tiempo en horas invertido por el Help-Desk en llamadas de contraseñas Coste del Help-Desk del tiempo invertido en llamadas de contraseñas Tiempo en horas de inactividad de los usuarios por incidentes de contraseñas Coste inactividad de los usuarios por incidente de contraseña Total coste incidencias de contraseñas 10,000 3, , ,000 15, ,

9 Tal como se puede apreciar en la siguiente gráfica, el coste total de las incidencias relacionadas con la gestión de contraseñas, para una organización de 1000 usuarios, llega a suponer una carga económica importante. 130, Resultado costes iniciales acumulados 97, , , Coste año 1 Coste año 3 Coste año 5 Coste acumulado En estas consideraciones iniciales no se ha cuantizado datos relativos a la perdida de productividad derivada de las sucesivas autenticaciones que realizan los usuarios en las diferentes aplicaciones web que conforman el entorno de la aplicación y que viene a solucionar un SSO, gracias a que éste permite al usuario realizar una única instancia de identificación para toda la sesión de trabajo. 3. Claves del análisis La realización de este estudio se basado en dos aspectos asociados al coste/eficiencia de gestión operativa que se ven afectados por el despliegue de un SSO, el primero de ellos es el aumento de productividad de los usuarios que se pone de manifiesto al desplegar un SSO y el segundo es la reducción de los costes total de propiedad de las herramientas utilizadas para la automatización de los procesos de gestión de identidad y como se ven afectados de forma colateral los procesos de soporte a los servicios (Help-Desk). Incremento de la productividad En un entorno donde el usuario accede a una media de cuatro aplicaciones diferentes, en las cuales ha de identificarse una vez en cada una de ellas, este usuario pierde de media entre 1 y 2 minutos identificándose, un tiempo que el SSO permite ahorrar puesto que sólo es necesario una autenticación. Dos minutos parece un tiempo prescindible pero si lo multiplicamos por el número de jornadas laborales de un año (254 jornadas) obtenemos que el usuario pierde de media anualmente alrededor de 8 horas. En la siguiente tabla se muestra el coste final para la organización. Tiempo perdido en identificación por día (minutos) Tiempo perdido en identificación por año (horas) Coste tiempo perdido por usuario/empleado por año Total coste perdido en identificación por año ,

10 El despliegue de un SSO basado en reduce directamente las perdidas derivadas de la múltiple identificación, puesto que reduce a una vez la identificación de los usuarios. Incrementando por tanto la productividad de los mismos. Reducción de costes El hecho de contar con un entorno donde los procesos de gestión de la identidad, se encuentren automatizados por herramientas que centralizan las tareas de gestión de una única credencial de acceso de los usuarios para todo el sistema, repercute directamente en los costes que se incurren en el Help-Desk debito a la atención/resolución de las incidencias con las credenciales de identificación de los usuarios. Siendo esta la clave del análisis del TCO que se realiza a continuación. 4. Coste total de propiedad (TCO) de El cálculo del coste total de propiedad (TCO) del despliegue de un SSO basado en se basa en la combinación de costes y beneficios de los siguientes factores: Costes del Centro de Procesamiento de Datos (CPD) el cual albergará la infraestructura del SSO. Hardware, software y conectividad. Servicios profesionales requeridos para desplegar como SSO. Formación y soporte sobre el entorno desplegado. A parte de los costes asociados al despliegue de un nuevo entorno tecnológico, se han de considerar aquellos que se deben seguir realizando en los sucesivos años una vez que finaliza su despliegue. Los costes iniciales para desplegar un SSO basado en son los siguientes: Licencia Instalación Configuración Formación Infraestructura tecnológica Total Tipo Descripción Coste inicial Sin coste de licencia, al ser software libre El proceso de instalación cubre los aspectos relativos a la preparación del servidor (o servidores) donde se va a desplegar, la instalación de dicho software y también de los conectores que requerirán las aplicaciones para integrarse en el SSO. Cubre las actividades a realizar para configurar tanto el Proveedor de Identidad como los distintos Proveedores de Servicio que se integran en el SSO. Realización formación al personal técnico que administrará una vez desplegado. Infraestructura necesaria por el SSO, a nivel de hardware, software y conectividad. 6, , , , , Una vez desplegado como IdP del SSO, este servicio debe ser mantenido por la organización, del cual se derivan los siguientes costes totales: 10

11 Licencia Soporte anual Administración Infraestructura tecnológica Total Descripción Coste resto año 1 Coste siguientes años Sin coste de licencia, al ser software libre Soporte realizado por PRiSE sobre el despliegue de como SSO, de manera que la organización no tenga que disponer de personal técnico experto en esta tecnología. Coste del tiempo del personal técnico de la organización encarga de administrar el SSO a través de, estimándose en 1 hora por día. Infraestructura necesaria por el SSO, a nivel de hardware, software y conectividad. 3, , , , , , , De esta forma, se puede analizar la evolución del TCO de un SSO basado en en un periodo de 5 años: Coste año 1 Coste año 2 Coste año 3 Coste año 4 Coste año 5 TCO total TCO/Año TCO/mes 27, , , , , , , , , , , , , , , Tal como se aprecia en la siguiente gráfica, el TCO se reduce sustancialmente a medida que el sistema se mantiene en la infraestructura de la organización: 70,000 Resultado TCO por año y mes 52,500 35,000 17,500 0 Coste año 1 Coste año 3 Coste año 5 TCO acumulado TCO/Año TCO/mes 5. Retorno de la inversión (ROI) de Para comprobar la rentabilidad de la inversión de un proyecto de este tipo es imprescindibles conocer cual es el retorno de la inversión de desplegar un servicio de Single Sign-On. Con el fin de realizar un calculo ajustado se parte del caso en el cual se dispone de una herramienta o aplicación de gestión de las credenciales de identificación de los usuarios 11

12 (comúnmente formadas las credenciales por contraseñas) que permite al usuario gestionar sus credenciales (olvidos, caducidad etc) evitando el uso extensivo del servicio de Help-Desk. Duración media reinicio contraseña en minutos Tiempo en horas de inactividad de los usuarios por incidentes de contraseñas con SSO Coste inactividad de los usuarios por incidente de contraseña con SSO Tiempo en minutos invertido por el Help-Desk en llamadas de contraseñas Coste del Help-Desk del tiempo invertido en llamadas de contraseñas Total coste incidencias de contraseñas , , Los usuarios siguen invirtiendo cierto tiempo en resolver su problemática con el nombre de usuario y contraseña, pero gracias al nuevo escenario este tiempo se puede ver reducido hasta 3 3 minutos de media por cada una de las incidencias. El Help-Desk recibirá un número de incidencias de gestión de contraseñas mucho más reducido, reduciendo así también el número de consultas que reciben al año. El coste total que provoca en la organización las incidencias relacionadas con contraseñas evolucionaría favorablemente, tal y como muestra la siguiente figura. Redución del coste Help-Desk asociado a incidencias de gestión de contraseñas 25, , , , Coste sin Coste con Esto provoca un ahorro significativo después de desplegar un SSO: Ahorro anual tras despliegue SSO Coste anual operación SSO Total Ahorro anual % ROI 22, , , % Así, el resultado ofrecido por un ROI con valor 254% permite calcular el ahorro que se obtendría si se analiza a 5 años. 12

13 80, Resultado ROI por año 60, , , Ahorro año 1 Ahorro año 3 Ahorro año 5 Ahorro anual 13

14 Conclusiones permite rentabilizar a corto plazo el despliegue de un Single Sign-On en una organización gracias a su facilidad de administración y de requerimientos tecnológicos. Tal como se ha podido ver, el coste total de propiedad (TCO) de un despliegue basado en no llega a superar los 14,000, siendo un coste asumible incluso por pequeñas organizaciones, las cuales además no requerirán de un equipo técnico propio experto en identidad digital. Una vez desplegado el SSO, el retorno de la inversión (ROI) que se obtiene es de 254%, permitiendo incluso que el ahorro total anual sea superior al TCO anual, demostrando que solo se gana con la elección del software para iniciar un proyecto de este tipo. 14